Intern eigene Domain erreichbar
-
Hallo,
ich habe eine feste IP-Adresse und 2 WAN Anschlüsse. Von aussen ist die feste IP-Adresse über eine eigene Domain (www.xyz.de) erreichbar. Über diese Domain frage ich auch meinen Mailserver über mein Smartphone an. (www.xyz.de/webaccess)
Bisher konnte ich so mit meinen Smartphone meine E-Mails entweder über UMTS(ausser Haus) oder WLAN (im Haus) ohne umstellen abfragen.
Mit meiner neuen pfsense-Firewall ist das nicht mehr möglich, die kennt meine feste IP, und gibt sperrt Anfragen aus meinen LAN/WLAN/DMZ an die feste IP.
Wie kann ich das freigeben, das Anfragen an meine eigene Domain aus dem eigenen Netz wieder funktionieren.
–> WLAN -> www.xyz.de -> feste IP -> pfsense -> Mailserver (DMZ)
Danke
-
Es muss eine Regel da sein, die das erlaubt. Wenn von intern (LAN/WLAN) nach DMZ zum Mailserver keine Regel existiert die das erlaubt, wird das nicht klappen.
Ansonsten gibts noch die Möglichkeit, die Domain intern anders aufzulösen und nicht die externe IP sondern die DMZ IP zurückzugeben, so dass dein Zugriff wieder klappt. Dazu müsste aber die pfSense intern den DNS stellen.
-
Hallo,
gibt es für diese ganzen Firewallregeln Beispiele? Wenn man neu an dieser Kiste schraubt ist das ganz schön kompliziert.
-
Hallo,
diese Firewall Regeln, DNS und Routing sind allgemeine Firewall-Themen, das gibt es nicht nur auf pfSense. Dafür gibt es allgemeine Literatur. Musterbeispiele kenne ich leider nicht.
Ich hätte dein Post so verstanden: Du kannst mit dem Smartphone zwar von extern, nicht aber von intern, auf den Mailserver zugreifen.
JeGr hat offenbar verstanden, du kannst gar nicht über die pfSense darauf zugreifen.
Kannst du das nochmals klären. -
JeGr hat offenbar verstanden, du kannst gar nicht über die pfSense darauf zugreifen.
Jein, JeGr hat das so verstanden, dass das Telefon - wenn im LAN/WLAN - die IP extern auflöst. Die externe IP liegt aber irgendwo auf der pfSense auf - wie weiß ich nicht, da das nicht geschrieben wurde und da 2 WAN Anschlüsse bin ich mir auch nicht sicher, wo genau. Aber nehmen wir an sie ist auf WAN1 oder WAN2 konfiguriert. Dann vermute ich mal, dass man mit 1:1 NAT oder Port Forwarding den Mail Port auf einen Mailserver in der DMZ geschoben hat.
Sollte dem so sein, gibts noch einen simpleren Weg: Bei der NAT Regel einfach die Einstellung für NAT Reflection aktivieren (NAT+Proxy oder Pure NAT sollte egal sein). Dann wird automatisch auf dem LAN ein entsprechendes 2. Forwarding in die DMZ eingerichtet, damit der Zugang auch vom LAN transparent funktioniert.
Sollte die IP aber direkt in der DMZ aufliegen und geroutet worden sein - was ich nicht weiß, und darauf bezog sich obiger Post - und es vom WAN aus klappen, dann hat man ja entsprechende Regeln eingerichtet. Evtl wurden die dann aber nicht auf dem LAN konfiguriert und da der Server in einer DMZ steht (und dorthin nicht per default Regeln erstellt werden), war meine Idee, dass hier entweder Filterregeln fehlen und/oder man - je nachdem wie der Server in der DMZ via IP erreichbar ist - intern einfach nicht die externe IP benutzt um mit den Server zu sprechen, sondern die interne. (Stichwort Split-Horizon DNS). Man lässt also eine Abfrage auf mail.meinserver.de - welche extern mit 1.2.3.4 beantwortet wird - intern einfach mit 192.168.X.Y (oder ähnlich) beantworten und hat somit ebenfalls ein funktionierendes System - ohne dass man NAT Reflection oder sonstige Krücken bemühen muss. Regeln, dass von LAN->DMZ Mail erlaubt ist, muss es natürlich trotzdem geben, aber sollte die default LAN allow any Regel noch intakt sein, ist das ja inklusive.
Grüße
-
Jein, JeGr hat das so verstanden, dass das Telefon - wenn im LAN/WLAN - die IP extern auflöst.
Okay. Den Satz "Es muss eine Regel da sein, die das erlaubt." hätte ich anders interpretiert.
Aber egal, wenn es nur an der externen IP scheitert und es (, weil vermutlich nur für private Nutzung) keine Sicherheitsbedenken gibt, hätte ich auch NAT Reflection empfohlen. Ist einfacher einzurichten als DNS Override od. dgl.
-
Okay. Den Satz "Es muss eine Regel da sein, die das erlaubt." hätte ich anders interpretiert.
Ja war schlampig, sorry :) -
Hallo,
es funktioniert.
Danke